Sandboxie - Windows-Programme sicher ausführen

Funktionalität: Sandboxie schaltet sich zwischen das Betriebssystem und bestimmte, vom Benutzer festgelegte Anwendungen. Das Tool fängt Schreibzugriffe von in der Sandbox laufenden Programmen ab und leitet sie in den isolierten Bereich um. Die darin enthaltenen Container-Ordner werden per Vorgabe unter C:\Sandbox, gefolgt vom User- und Sandbox-Namen, angelegt. Zu den geschützten Systemobjekten gehören Dateien, Laufwerke, die Windows-Registry, Treiber und Objekte für die Interprozesskommunikation, beispielsweise benannte Pipes oder Ereignisse. Für die Anwendungen erfolgt der Vorgang transparent: Sandboxie gaukelt ihnen vor, dass sie zum Beispiel Daten wie gewohnt erfolgreich auf die Festplatte schreiben können. Lesezugriffe werden ebenfalls umgeleitet, sofern die fragliche Datei bereits in der Sandbox vorhanden ist. Andernfalls reicht das Tool diese standardmäßig durch, um die Funktionalität der überwachten Programme zu gewährleisten. Um das zu unterbinden, ist ein Eingriff in die Sandbox-Einstellungen mithilfe der Parameter ClosedFilePath oder ClosedKeyPath notwendig.

Mit Sandboxie lassen sich beliebig viele isolierte Bereiche erstellen. Lediglich der zur Verfügung stehende freie Festplattenplatz stellt eine Grenze dar. In der unregistrierten Version des Tools ist es allerdings nicht möglich, Programme in mehr als einer Sandbox gleichzeitig auszuführen. Außerdem ist es der Bezahlvariante vorbehalten, Anwendungen automatisch im isolierten Bereich zu starten, selbst wenn der Benutzer sie nicht direkt per Sandboxie aufruft.

Installation: Das Setup lässt sich Windows-typisch per Doppelklick auf die heruntergeladene ausführbare Datei (1,9 MByte) starten und begleitet den Anwender anschließend durch die Auswahl von Sprache und Programmpfad. Da Sandboxie sehr systemnah arbeitet, muss die Installationsroutine einen System-Level-Treiber auf dem Rechner verankern. Eine Warnmeldung vor der Treiberinstallation weist den Anwender auf etwaige Risiken hin und gibt Tipps, was bei Problemen zu tun ist.

Bedienung: Einen Assistenten, der den Benutzer bei den ersten Schritten mit dem Tool an die Hand nimmt, gibt es nicht. Auf dem Windows-Desktop findet sich nach der Installation nur eine Verknüpfung von Sandboxie mit dem auf dem PC eingerichteten Standard-Browser, sodass zumindest einer ersten Internetsitzung nichts im Weg steht. Die eigentliche Bedienung des Programms erfolgt mithilfe der Komponente Sandboxie Control, die als gelbes Icon im Systray ihren Platz findet. Ein Doppelklick auf dieses Symbol führt zum Hauptfenster, in dem die eingerichteten Sandboxes aufgeführt sind. Zu Beginn befindet sich in diesem Bereich lediglich die DefaultBox. Ein Klick mit der rechten Maustaste auf den Sandbox-Namen fördert das Kontextmenü zutage, in dem sich der Eintrag In der Sandbox starten eignet, um beliebige Programme auszuführen. Auf diese Weise kann der Benutzer Installationsroutinen auch direkt im isolierten Bereich aufrufen.

Möchte man die vorgenommenen virtuellen Änderungen verwerfen, lassen sich die Inhalte der Sandbox mit wenigen Mausklicks löschen - auf Wunsch auch automatisch beim Beenden des Tools. Sollen hingegen die ursprünglich umgeleiteten Änderungen tatsächlich wirksam werden, gelingt dies über die Wiederherstellungsfunktion. Anwendungen in der Sandbox sind durch zwei Nummernzeichen (#) erkennbar, die am Anfang und Ende des Fenstertitels erscheinen. Außerdem werden sie im Hauptfenster von Sandboxie Control aufgelistet. Wer mit den Standardvorgaben nicht zufrieden ist, greift über die Option Sandboxeinstellungen in die Konfiguration des Tools ein. Der Eintrag findet sich im Kontextmenü jeder Sandbox, da sich jeweils unterschiedliche Einstellungen treffen lassen. Systemnah arbeitende Programme wie Virenscanner funktionieren übrigens in der Regel nicht in einer Sandbox: Sie verweigern schlichtweg den Dienst, da ihnen die eingeschränkten Rechte Schwierigkeiten bereiten.

Fazit: Die Shareware Sandboxie bietet eine virtuelle Umgebung, in der sich unbekannte Programme installieren und testen lassen, ohne dass auf dem Rechner Spuren zurückbleiben. Der häufigere Fall dürfte aber das Ausführen von bereits auf der Festplatte vorhandenen Anwendungen sein, insbesondere vom Browser und Mail-Client. Beide Szenarien deckt das Tool problemlos ab. Benutzerfreundlicher wäre es jedoch, wenn ein Assistent dem Benutzer zumindest bei den ersten Schritten mit Sandboxie unter die Arme greifen würde. Mit den zwei Einschränkungen der unregistrierten gegenüber der registrierten Version hingegen kann man gut leben. (cvi)